Сигурносни пропусти истичу значај гласања са новчаником

Реклама

Онлине продавница честитки Моонпиг излагала је податке о купцима хакерима најмање 15 месеци, упркос упозорењима стручњака да постоји рупа коју је потребно зачепити.

Овде има више лекција. Прво: корпоративна ароганција је опасна. Друго: клијентима је важно да се едукују и да компаније постану сигурне да раде на томе. И треће: „познато име“ није нужно сигурно.

Моонпиг је интернетска продавница честитки која путем својих веб локација продаје картице дизајниране по мјери и кригле. Огромно популаран (захваљујући редовном ТВ оглашавању), Моонпиг је испоручио 6 милиона карата у Великој Британији 2007. године. Док је британски сајт (са седиштем у Лондону и Каналском острву Гуернзи), ова ситуација утиче на купце и власнике онлине продавница широм света.

Хацк Моонпиг: Шта се догодило?

Још 2013. године, програмер Паул Прице открио је да се захтеви за мобилни АПИ на веб локацији Моонпиг.цом могу хаковати, чиме је криминалним хакерима омогућено да наручују на било који налог. Поред тога, могу се видети подаци попут имена клијента, датума рођења, адресе, истека кредитне картице и последње четири цифре картице.

Веб странице које нуде куповину на мрежи обично нуде ограничаваче цена који смањују утицај аутоматизованих скрипти, али Моонпиг је то изоставио, чинећи то лаким, отвореним циљем за хакере.

Првобитно обавијештена од стране Прице о рањивости средином 2013., Моонпиг је тврдио да ће је одмах поправити; 18 месеци касније, рањивост је остала.

Рекао је Прице кад је објавили детаље о рањивости онлине:

„Видела сам у своје време неке половине безбедносних мера, али за ово је потребан кекс. Ко год да је архитекта овог система, мора бити на води. Сваки захтев АПИ-ја је такав: уопште не постоји аутентификација и можете пренијети било који кориснички ИД да бисте их лажно представљали. Нападач може лако да даје наруџбе на рачуне других купаца, додаје или преузима податке са картице, прегледава сачуване адресе, прегледава наруџбе и још много тога.

У основи се користила основна аутентификација, а подаци рачуна откривени без провјере аутентичности.

Прице је одлучио да се јави јавно против хаке након што је Моонпиг одговорио на свој накнадни контакт у септембру 2014. да би се решење поставило до Божића. Кад је све открио 5. јануара^тх, то још није било прикључено.

Реакција Моонпиг-а на хацк

Поука ове приче није толико у вези са хацком - они се дешавају све више и више у индустрији куповине на мрежи - већ о ставу компаније и шта то значи потрошачима.

Ако узмемо у обзир количину хакова у протеклих неколико година, као што је још увијек необјашњиво цурење еБаи-а Кршење података са еБаи-а: Шта требате знати Опширније и Циљајте губитак 40 милиона кредитних картица Циљ потврђује до 40 милиона америчких кредитних картица потенцијално хакованихТаргет је управо потврдио да је хакер могао довети у питање информације о кредитној картици 40 милиона купаца који су се нашли у америчким продавницама од 27. новембра до 15. децембра 2013. Опширније тада можемо видети да изгледа да је у најбољем случају непознавање, у најгорем случају саучесништво, према безбедности на мрежи.

Узмимо за пример одговор Моонпиг-а на вести:

Свјесни смо података о тврдњама о клијентима и можемо потврдити да су све лозинке и подаци о плаћању увијек били сигурни.

- Томбпиг?? (@МоонпигУК) 6. јануара 2015. године

Овај покушај ограничавања штете одмах је позван:

.@МоонпигУК Осим имена, датуми истека и последње 4 цифре које су једноставно доступне преко вашег АПИ-ја више од 17 месеци... @Цхарлоттеис

- Јамес Сеимоур-Лоцк (@ЈамесСЛоцк) 6. јануара 2015. године

На страну катастрофа у односима с јавношћу, наглашава се немогућност Моонпиг-а да се благовремено позабави тим проблемом важност редовног покретања тестова пенетрације на веб локацијама суоченим са Интернетом, као и реаговања на безбедност савети одмах.

Како купци могу имати користи од сигурносних рањивости

Није јасно да ли су неки подаци украдени од Моонпиг-а путем ове рањивости, а на основу њихових настојања на ограничавању штете до сада вероватно не би делили информације чак и да су их имали.

Бескрајни проблеми са безбедношћу куповине на мрежи током последња 24 месеца или тако су почели да поткопавају поверење у индустрију. Иако се еБаи у овој фази мало предаје, на пример (и никада није потврдио како су хаковани њихови подаци), то је ствар изузетан нагон за бесплатним листама и другим бонусима средином 2014. године сугерише да је пуно корисника остало далеко.

Упркос покретању цивилних тужби против ових компанија, једини стварни кораци које потрошачи могу предузети против грубе злоупотребе и несигурности својих података. (а ако сте купац Моонпиг.цом, вреди проверити да ли имате обећања о безбедности података у оригиналним условима и одредбама) гласајте са њиховим новчанике.

Експлозија у курирским службама и испорука дронова, огромна складишта широм земље и огромне испоруке, Амазон доказује како испунити наруџбе купаца и чувати податке (до сада). Друге компаније би требале користити Амазон као пример, а не груби образац за покушај опонашања. Ако то не учините, може доћи само до завршетка куповине путем интернета - или потпуне доминације Амазона.

Само предузимањем корака за куповину на другом месту можемо профитирати од тога да интернетске продавнице озбиљно схватају своју одговорност.

Не одустајте од куповине преко интернета: Само купујте паметније

Током последњих пар година видели смо превише хакованих великих имена. Али, ови напади и накнадна цурења података не значе да морате остати клијент. У ствари, требало би да радите супротно и да кренете ка сигурнијим такмичарима или радите локално. Ако сте ухваћени и купујете на хакованом сајту, можда ћете и ви размотрите ове алтернативне могућности Да ли вас купују како вас хакују? Ево шта треба учинити Опширније .

Наравно, можда ћете имати боље решење. Зато користите коментаре да бисте их поделили и било које сродне приче које имате.

Кредитна слика: Куповање преко Интернета преко Схуттерстоцка